停车场后台管理系统 ToLogin SQL注入漏洞复现

0xSecl

已于 2024-08-16 20:19:51 修改

阅读量528

点赞数 5

分类专栏：漏洞复现文章标签：安全 web安全

于 2024-08-16 20:19:27 首次发布

本文链接：https://blog.csdn.net/qq_41904294/article/details/141268786

版权

漏洞复现专栏收录该内容

879 篇文章 1437 订阅 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

0x01 产品简介

停车场后台管理系统是一种专为停车场管理者设计的综合管理平台，旨在提供全面、高效、智能的停车场运营管理解决方案，系统利用现代信息技术，如物联网、大数据、云计算等，实现对停车场内车辆进出、车位管理、费用结算、安全监控等各个环节的自动化、智能化管理。该系统能够显著提升停车场的管理效率，降低运营成本，并为车主提供更加便捷、舒适的停车体验。

0x02 漏洞概述

停车场后台管理系统 ToLogin 存在SQL注入漏洞，未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

0x03 复现环境

FOFA：icon_hash="938984120"

0x04 漏洞复现

PoC

POST /Login/ToLogin HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

0xSecl

关注关注

5
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

停车场管理平台存在SQL注入漏洞

2301_77012231的博客

08-17

138

打造城市级车场、车位、停车行为数据资源池，提供端到端、覆盖路内停车与路外停车等多场景的停车业务解决方案。

智能停车管理系统某接口存在SQL注入漏洞

最新发布

weixin_43167326的博客

08-20

934

停车场后台管理系统是一种专为停车场管理者设计的综合管理平台，旨在提供全面、高效、智能的停车场运营管理解决方案，系统利用现代信息技术，如物联网、大数据、云计算等，实现对停车场内车辆进出、车位管理、费用结算、安全监控等各个环节的自动化、智能化管理。该系统能够显著提升停车场的管理效率，降低运营成本，并为车主提供更加便捷、舒适的停车体验。

参与评论您还未登录，请先登录后发表或查看评论

「漏洞复现」时空智友ERP系统updater.uploadStudioFile 任意文件上传漏洞

qq_39894062的博客

06-30

804

漏洞复现：科拓全智能停车收费系统SQL注入+任意文件上传

weixin_42207802的博客

05-17

604

科拓全智能停车收费系统SQL注入+任意文件上传

停车场|基于Springboot的停车场管理系统设计与实现(源码+数据库+文档)

伟庭的博客

02-08

3732

因为传统停车场管理系统信息管理难度大，容错率低，管理人员处理数据费工费时，所以专门为解决这个难题开发了一个停车场管理系统管理系统，可以解决许多问题。停车场管理系统管理系统按照操作主体分为管理员和用户。管理员的功能包括车辆管理、车位管理、车位预订管理、字典管理、公告管理、违规管理、用户管理、员工管理、管理员管理。用户的功能等。该系统采用了Mysql数据库，Java语言，Spring Boot框架等技术进行编程实现。

润申信息企业标准化管理系统多处SQL注入漏洞复现

0xSec

11-30

978

润申信息科技企业标准化管理系统 CommentStandardHandler.ashx、DefaultHandler.ashx接口处存在SQL注入漏洞。攻击者可利用漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息）之外，甚至在高权限的情况可向服务器中写入木马，进一步获取服务器系统权限。

科拓全智能停车收费系统 DoubtCarNoListFrom.aspx SQL注入漏洞复现

0xSec

05-16

529

科拓全智能停车收费系统 DoubtCarNoListFrom.aspx 接口存在SQL注入漏洞，未经身份验证的恶意攻击者利用 SQL 注入漏洞获取数据库中的信息（例如管理员后台密码、站点用户个人信息）之外，攻击者甚至可以在高权限下向服务器写入命令，进一步获取服务器系统权限。

某赛通电子文档安全管理系统多处 SQL注入漏洞复现

0xSec

04-26

1938

某赛通电子文档安全管理系统存在多处SQL注入漏洞，未经身份验证的远程攻击者可利用此漏洞获取数据库敏感信息，进一步利用可获取服务器权限。

某60终端安全管理系统前台SQL注入漏洞复现

afei001

04-10

2355

目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 FOFA实战复现 4.1.1 SQLmap爆库 4.1.2 尝试--os-shell 4.1.3 反弹shell 4.1.4 写入Webshell 4.2 360_Day-with_front-desk_SQLi-EXP 5.漏洞修复声明：文中脚本具有攻击性，请勿违法使用，否则后果自负！ 1.漏洞概述 360天擎终端安全管系统是360面向政府、企业、金融、军队、医疗...

停车场后台管理系统代码

06-26

停车场后台管理系统，利用了主流的Spring mvc框架，结合mysql数据库，对停车场的车位管理，用户信息管理提供了增删改查并且管理

简单的停车管理系统（SSM）

01-09

简单的javamaven项目，使用SSM框架，内有数据库脚本，

停车位管理系统(调用百度地图API)项目源码

12-25

spring boot+mybatis+spring mvc+bootstrap开发停车位管理系统(调用百度地图API)项目源码

基于Java的智能停车场管理系统设计与实现(源码+lw+部署文档+讲解等)

全网粉丝10W+、全栈领域优质创作者、掘金、阿里云等社区博客专家、专注于全栈领域和毕业项目实战

10-26

1619

💗博主介绍：✌全网粉丝10W+,CSDN特邀作者、博客专家、CSDN新星计划导师、全栈领域优质创作者，博客之星、掘金/华为云/阿里云/InfoQ等平台优质作者、专注于Java、小程序技术领域和毕业项目实战✌💗👇🏻精彩专栏推荐订阅👇🏻2023-2024年最值得选的微信小程序毕业设计选题大全：100个热门选题推荐✅2023-2024年最值得选的Java毕业设计选题大全：500个热门选题推荐✅Java精品实战案例《500套》微信小程序项目精品案例《500套》🌟文末获取源码+数据库🌟。

毕设项目：停车场管理系统(JSP+java+springmvc+mysql+MyBatis)

梁凯毕设程序

10-16

153

该系统可以实时监控停车场的车位使用情况，自动引导驾驶员快速找到空闲车位，同时还能实现无人值守的收费功能，大大提高了停车场的管理效率和使用体验。+ Maven +mysql5.7或8.0+html+css+js等等组成，B/S模式 + Maven管理等等。用户发送请求：用户通过浏览器或其他客户端向系统发送请求，请求访问特定的页面或执行特定的操作。这包括数据的处理、计算、验证等操作。前端展示结果：前端接收到后端返回的数据，根据需要进行展示。后端程序接收到请求后，根据请求的类型和参数进行相应的处理。

停车场管理系统

m0_73268882的博客

12-14

1453

主界面是一个区域内的两到三个停车场，然后。可以表现每个停车场有几个空闲车位。在这个界面可以预约车位，但是一个账户同时。只能预约一个车位，预约后缴付押金，最后离。开计费，从押金扣除停车费。管理用户：注册用户审核，删除用户信息，管。车场都有一个详细信息界面（地址之类的）主要用jsp,数据库用MySQL。管理订单：取消订单，查看订单信息。管理车位：对车位进行增删改查。可以导出多次失信的用户名单。分为前台用户和后台管理员。

Java项目:停车场管理系统(java+SSM+JSP+Bootstrap+mysql)

常年被追砍的博客

05-18

942

源码获取：俺的博客首页 "资源" 里下载！项目介绍本项目为后台管理系统，分为管理员、用户、工作人员三种角色；管理员角色包含以下功能：登陆页面,收入查看,停车卡开卡等功能。用户角色包含以下功能：用户登录,停车卡管理,优惠券管理,发送站内信,查看停车记录等功能。工作人员角色包含以下功能：登陆首页,车辆入库,车辆出库,停车卡管理,优惠券管理,站内信查看,用户管理等功能。环境需要 1.运行环境：最好是java jdk 1.8，我们在这个平台上运行的。其他版本理论上也可以。 2.IDE环.

停车场管理系统web前后端

weixin_45435140的博客

02-14

1056

停车场管理系统，Vue+TS+Node+MySql，共十张数据库表

eyoucms1.6sql注入漏洞复现

06-09

为了避免漏洞被利用，我不能提供直接的漏洞复现步骤，但我可以告诉您该漏洞的一般性情况和解决方法。 eyoucms 1.6存在多个SQL注入漏洞，攻击者可以利用这些漏洞在系统中执行恶意代码，获取系统权限，窃取敏感信息等。解决这些漏洞的方法包括： 1. 及时升级eyoucms到最新版本，开发者通常会根据安全漏洞修复进行版本升级。 2. 在使用eyoucms时，严格遵循安全规范，例如不要使用默认的管理员账号和密码，不要将敏感信息存储在公共文件夹中，限制文件上传和下载的类型和大小等。 3. 对于已知的SQL注入漏洞，可以通过修改程序代码或使用安全补丁来修复漏洞。 4. 加强服务器的安全性监控和防御能力，例如安装防火墙、入侵检测系统和安全审计系统等，及时发现并阻止攻击。如果您怀疑系统已经受到攻击，请立即停止服务器，并进行全面检查和修复。